Códigos de recuperación: tu respaldo ante hackeos
Clase 6 de 20 • Curso de Ciberseguridad Preventiva
Contenido del curso
Seguridad de Accesos
Protección de Correos y Redes Sociales
Seguridad de Dispositivos y Cuentas Personales
Nubes e Identidad en Tiempos de IA
Resumen
Perder el teléfono, quedarte sin línea o cambiar de asistente puede significar perder el acceso a tus cuentas de Facebook, Instagram, WhatsApp y Google de forma permanente. Configurar correctamente la autenticación en dos pasos y resguardar tus códigos de recuperación es la diferencia entre recuperar tu información en minutos o enfrentarte a un proceso casi imposible. A continuación se explica, con pasos concretos, cómo proteger cada cuenta y por qué documentar todo en papel es una medida que no puedes ignorar.
¿Por qué necesitas una carpeta roja de seguridad?
La idea central es tener lo que se describe como un one shot [00:12]: una única oportunidad para entrar, revocar accesos y recuperar el control de tus cuentas cuando algo sale mal. Si la información estaba guardada solo de forma electrónica y pierdes ese dispositivo, quedas sin opciones.
Por eso se recomienda crear una carpeta roja física donde anotes:
- La contraseña de cada cuenta.
- Los códigos de recuperación (cinco por plataforma).
- En qué authenticator está guardado cada segundo factor.
- El teléfono y correo de recuperación registrados.
Todo este proceso debe hacerse desde tu propio celular de manera preventiva [01:03], porque si el incidente ya ocurrió, el dispositivo ya no estará en tus manos.
¿Cómo se configura la autenticación en dos pasos en Facebook?
Dentro de Facebook, el punto de partida es el Centro de cuentas [01:30], ubicado en Configuración y privacidad. Ahí Facebook agrupa la información más crítica. Es importante recordar que las páginas de fans dependen de una cuenta personal; no se blindan por separado, se protegen asegurando el perfil del administrador [01:46].
¿Qué son las experiencias conectadas?
En el segundo botón del Centro de cuentas aparece la opción Experiencias conectadas [02:00]. Permite vincular Instagram y WhatsApp para compartir seguridad de forma tripartita: puedes recuperar una cuenta usando la contraseña de otra. Sin embargo, si te hackean cualquiera de las tres, pones en riesgo todo el paquete.
¿Qué métodos de segundo factor ofrece Facebook?
Al entrar en Contraseña y seguridad y luego en Autenticación en dos pasos [02:26], aparecen tres opciones principales:
- Aplicación de autenticación. Aquí configuras Google Authenticator, Microsoft Authenticator o 1Password. Si no reconoces la app registrada, desactívala y configura una nueva [02:44].
- SMS o WhatsApp. Te envían un código cada vez que inicias sesión. El riesgo es enorme: si perdiste la línea o se reasignó a otra persona, los códigos llegarán a alguien más y no podrás recuperar Facebook, Instagram ni lo que esté ligado [03:14].
- Códigos de recuperación. Son cinco códigos que funcionan cuando todo lo demás falla [03:36]. Deben almacenarse en 1Password y también anotarse en papel dentro de tu carpeta roja.
Al final de ese menú aparece la opción de configurar una llave de seguridad física [04:10], un dispositivo que se conecta por USB-C, USB-A o por proximidad al teléfono. Es un factor adicional que autentica tu identidad sin depender de códigos ni líneas telefónicas.
También existe la sección de dispositivo de confianza [04:54], que registra dónde iniciaste sesión previamente. Si el navegador o celular conserva esa cookie, puede facilitarte el ingreso en un momento crítico.
¿Cómo se protege una cuenta de Google con segundo factor?
El mismo mecanismo aplica para cuentas @gmail.com y correos corporativos de Google Workspace [05:19]. Dentro de la sección de seguridad encontrarás:
- Segundo factor de autenticación y la opción de passkey, que funciona como una contraseña dividida a la mitad [05:36].
- Teléfono y correo de recuperación, datos que también deben documentarse en papel [06:02].
- Contacto de recuperación [06:18]: puedes designar a un familiar para que recupere tu cuenta si tú ya no puedes hacerlo.
- Google Prompt [06:50]: en dispositivos Android, permite autorizar un ingreso teniendo físicamente el teléfono. Esto implica que quien tenga ese celular accede a contraseñas, fotos e historial de WhatsApp. Si vas a regalar o dejar de usar un teléfono, da de baja ese dispositivo de la lista.
Al configurar el authenticator en Google, aparece un código QR que puedes escanear o copiar manualmente [07:24]. Aplicaciones como 1Password generan un one-time password que cambia cada treinta segundos [07:50], más seguro que los que duran uno o dos minutos.
Una vez registrado el número telefónico y el authenticator, Google muestra los códigos de recuperación [08:18]. Permiten entrar incluso sin teléfono, sin línea y sin contacto de emergencia. Si alguien más tiene sesión abierta en tu cuenta, puede cambiarlos, así que revisa periódicamente los dispositivos con sesión activa.
El objetivo final es que todas las palomitas de seguridad estén en verde [08:40] en cada correo que administres: el personal, el del trabajo y cualquier otro. Los ciberdelincuentes suelen atacar por la línea telefónica que detectan en una auditoría, y ese es precisamente el eslabón más débil si no lo proteges.
¿Ya configuraste tu segundo factor en todas tus cuentas? Comparte en los comentarios qué authenticator utilizas y si ya armaste tu carpeta roja de seguridad.